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申 文博 


。 浙江 大 学 百人 计划 研究 员 ， 博 士 生 导 师 
。 网 络 空间 安全 学 院 ， 计 算 机 科学 与 技术 学 院 
。 研究 方向 : 操作 系统 安全 ， 容 器 安全 ， 软 件 安全 ， 程 序 分 析 


” 内 核 安全 技术 负责 人 -三 星 美国 研 究 院 (硅谷 )， 2015-2019 
” 根据 实际 攻击 ， 设 计 、 实 现 内 核 安全 机 制 ， 部 署 超 过 亿 部 旗舰 手机 
” 包含 内 核 代 码 保护 ;内 核 控制 流 保护 ，2016 年 部 署 前 向 后 向 ， 移 动 内 核 首 次 ; 内 核 数据 保护 
。 安全 四 大 论文 : IEEE S&P (13，17) ， ACM CCS (14) ，NDSS (16) ，USENIX SEC (19) 


。 美国 北 卡 罗莱 纳 州立 大 学 计算 机 博士 ，2015 
。 哈尔滨 工业 大 学 学 士 ，2010 
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。 攻击 和 防护 演化 
。 代 码 注入 攻击 
。 代 码 重 用 攻击 
。 数据 攻击 
. 内核 防护 -我 们 的 工作 
。 防护 代码 注入 攻击 
。 防护 代码 重用 攻击 
。 防 护 数据 攻击 
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系统 现状 


Linux Kernel Source Lines of Code at 1Lst Jan， 
2008-2019 


Source Lines of Code (Millions) 


Years (Source: master@git.kernel.org) 
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系统 现状 Androld Framework 


APPLICATIONS 


Linux Kernel Source Lines of Code at 1Lst Jan,， 


2008-2019 ANDROID CONTENT PROVIDERS . MANAGERS (ACTIVITY， 


LOCATION, PACKAGE, NOTIFICATION, RESOURCE， 
TELEPHONY WINDOW)。VIEW SYSTEM 


FRAMEWORK 


AUDIO MANAGER .FREETYPE . LIBC ， 
MEDIA FRAMEWORK .OPENGLVES . SQLITE RS 
,SSL。SURFACE MANAGER。 WEBKIT 


Source Lines of Code (Millions) 


Years (Source: master@git.kernel.org) HAL 


DRIVERS (AUDIO, BINDER (IPC), BLUETOOTH， 
CAMERA, DISPLAY KEYPAD, SHARED MEMORY, 
USB, WIF) ， POWER MANAGEMENT 
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系统 现状 
。 代码 量 巨 大 > bug 无 法 避免 
。 基 于 bug， 攻 击 者 寻求 任意 代码 执行 能 


“内核 的 攻击 和 防护 
“ 在 不 断 的 对 抗 中 演化 、 提 升 


500  - 


人 2 CD 

CI 一 ] 

ea C1 
| 


Number of 
Vulnerabilities 


2 
上 2 
CI 


0 
Year 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018 


01011011 
11011110 
001] 疝 110 
11001101 
10001111 
10100110 
10001010 
10101011 
00001110 
11010101 
10111010 
01100100 
01010101 
11010110 
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攻击 和 防护 诗 化 


攻击 


2005 
Concept 
2017 

Attack kernel 


1997 
Ret-to-libc 


2001 
XN ARM 


防护 NXAMD 2014 
2003 CFG MS9 
MS Windows 2016 3 


CFl 9amsung 
PA ARM 
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代码 注入 攻击 


void func (char *str) { High Address 


char buffer[12]; 
int variable_ai 
Strcpy (buffer， str); 


人 
和 
Current FP 
Li 


(a) A code example (b) Active Stack Frame in func() 和 


Int main(){ 
char*str= "1 am greaterthan 12 bytes '; 
func (Str); 


Stack's growing direction 


Current Frame 


| 


buffer [0] buffer [11] 


Source: http://www.cis.syr.edu/~wedu/seed/Labs_16.04/Software/Buffer_Overflow/ 
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代码 注入 攻击 


”不 可 执行 位 

仅 将 内 核 代 码 页 标记 为 可 执行 

其 他 所 有 内 存 标 记 为 内 核 态 不 可 执行 〈PXN) 
， 主 沅 絮 构 均 有 相应 硬件 支持 

。 X86, X86 64, ARM, AArch64 


Stack's growing direction 


| 


buffer [0] ..… buffer [11] 


Source: http://www.cis.syr.edu/~wedu/seed/Labs_16.04/Software/Buffer_Overflow/ 
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U 妆 在 于 在 在 于 下 在 下 


代码 重用 攻击 、 


， 不 能 注入 新 的 代码 
， 目 然而 然 的 想到 重用 已 有 代 全 
上 El 
， 两 种 方式 之 一 人 匣 El … + 
。 个 改 返 反 回 地 址 - RO P pop ebx 
ESP ~|ESSSa 人 
SUb eaX，ecX 


Stack 


Avery Simple ROP chain that calculates Uxe+ 0x24-0x2d. 
Result ls In the eax Teglster. 


Source: Size Does Matter Why Using Gadget-Chain Length to Prevent Code-Reuse Attacks is Hard 


全 国 网 络 与 信息 安 


全 防护 峰会 


个 钢 生 入 新 的 代码 


有 已 有 代 


”两 种 方式 乙 二 
. 复 改 久 数 指针 - JOP 


gadget1 
inet_release LDR X3, [X1,#Ox10] 
LDR X4, [X1,#Ox20] 
STP X29, X30, [SP,#Ox10+var_10]! LDR X5, [X1,#Ox30] 
MOVX29, SP | | 晨 二 二 
人 BLR X3 
MOV X0, X19 gadget2 
LDR X2, [X19,#Ox28] MOV X0, SP 
LDR X2, [X2] BLR X4 
BLR X2 
gadget3 
STR X0, [X1,#Ox40] 
MOV Wo, #0 LBLRXS 


LDP X19, X20, [SP,#Ox10+var_s0] 

LDP X29, X30, [SP+Ox10+var_10],#Ox20 
RET 
RE 


ROP 泄 露 SP 的 大 致 思路 


Source: https://blog.csdn.net/hu3167343/article/details/47394707 
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代码 重用 攻击 


”返回 地 址 保护 


“ sta C k Ca 站 a Ty [RSP] = Return Address 
@ S h 口 d| OVV Sta C K FS:[RSP] = 人 Address 


| 
0x0000 | 
| 
ee 
Vulnerable Buffer 


Stack 
growth 


Canary Value 


Return Address 
[| 


Padding of os 


Thread's Shadow 


Thread's Stack 


Source: Back To The Epilogue: Evading Control Flow Guard via Unaligned Targets 
Source: https://eyalitkin.wordpress.com/2017/08/18/bypassing-return-flow-guard-rfg/ 
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代码 重用 攻击 


， 池 数 所 针 保护 | 
跳 转 目标 限制 PtT set 


Writable data 


前 onei 
Carea 


Intended callees 
Wiritable data 


Eeeiadas 
&func1l 


CECaliaaiEDE 


全 人 二 ED 2 


有 同 国 国人 计 ee55 辣 


ES 可 有 REELE 2 Memory CFI 


COITUption Violation 


Attacker code 


Attacker code 
(b) With CEFI. 
Source: Back To The Epilogue: Evading Control Flow Guard via Unaligned Targets 
Source: https://eyalitkin.wordpress.com/2017/08/18/bypassing-return-flow-guard-rfg/ 


(a] Without CFI. 


” 非 控 制 数据 攻击 


返回 地 址 秃 数 提 针 以 外 的 数据 
”影响 关键 的 安全 特性 
” 仪 利 用 数据 攻击 做 到 内 极 提 权 -2017 


SSs_tLntittLialLLzed; 


Securitity_compute_av(Cu32 ss1td，U32 tsitLd， 


{ 


(!Ss_LnittiaLtzed) 
QLLOW; 


非 控制 数据 防护 


”种 类 繁杂 ， 难 以 实行 统一 有 效 保 护 
， 主流 操作 系统 均 缺 乏 对 数据 的 攻击 的 有 效 防 护 
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。 攻击 和 防护 演化 
。 代 码 注入 攻击 
。 代 码 重用 攻击 
。 数据 攻击 
。 内核 防 护 - 我 们 的 工作 
。 防 护 代码 注入 攻击 - TZ-RKP(CCS 14), SKEE (NDSS 16) 
。 防护 代码 重用 攻击 
。 防 护 数据 攻击 ~- PEX (USENIX SEC 19) 
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内 核 安全 挑战 

. 24,000,000+ LoC - v4.18.5 

“ 每 年 数 上 折 漏洞 

“高危 内 核 漏洞 > 内 核 任 意 内 存 读 写 


*。 目前 内 核 保护 方案 
。 通 过 设置 内 核 页 表 项 (Page 
table entry) 的 SMEP/PXN 位 
“可 以 轻易 的 被 拥有 任意 内 核 内 存 
读 写 的 攻击 者 绕 过 
* 重 写 内 存 中 页 表 项 ， 去 挥 
SMEP/PXN 位 
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内 核 代 码 注 入 攻击 


。 目前 内 核 保 护 方案 
“通过 设置 内 核 页 表 项 (page table) 的 SMEP/PXN 位 
。 可 以 轻易 的 被 拥有 任意 内 核 内 存 读 写 的 攻击 者 绕 过 
。 重 写 内 存 中 页 表 项 ， 去 掉 SMEP/PXN 位 


。 我 们 的 工作 - 基于 隅 离 环境 保护 内 核 
。TZ-RKP (CC9 14) 
。 基 于 ARM TrustZone 的 实时 内 核 保 护 
。 9S9KEE (NDS9S 16 Distinguished Paper Award) 
。 轻 量 级 的 内 核 同 级 别 隅 离 环 境 
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Hypervision Across Worlds: Real-time Kernel 

Protection from the ARM TrustZone Secure World 

。 基 于 ARM TrustZone 
“对 内 核 只 读 保护 


人 
1 
Kernel ， 


. 由 TZ 保 证 男 遇 站 
. 写 操作 陷入 TZ 执 行 mo 


Secure World Normal World 


。TZ 隔 离 环境 保证 
。 任意 内 核 内 存 读 写 攻击 者 依然 无 法 攻破 TZ-RKP 
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Hypervision Across Worlds: Real-time Kernel 
Protection from the ARM TrustZone Secure World 
“内核 代 码 - 设 为 只 读 


“ 包含 只 读数 据 和 部 分 敏感 数据 
“攻击 者 无 法 修改 已 有 代码 


。 内核 页 表 (page table) - 设 为 只 读 
。 非 内 核 代 码 页 设置 PXN 


Usercode and data 


Mapped with 
PXN Set 
OxBF000000 
。 对 页 表 更 新 进行 检查 ， 保 证 PXN 正 确 设置 。 。 read-oniy data 
AN AN AN 二 名 

相 攻击 者 无 法 注入 新 代码 立 呈 Kernellowmem M 

apped XN 
(data, devices, etc..) 
OxFFFFFFFF 


Virtual Memory 
Address Space 
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存在 的 问题 
。 TrustZone world 切 换 太 慢 ， 影 响 性 能 


。 增 加 了 TrustZone 的 可 攻击 面 
。RKP 放 在 了 TrustZone 里 
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SKEE: A Lightwelight Secure Kernel-level Execution 
Environment for ARM 
“ SKEE: 一 个 基于 ARM 架 构 的 轻 量 级 、 内 核 级 安全 执行 环境 
“和 内 核 处 于 同一 特权 等 级 的 隔离 方案 
“ 从 内 核 隅 离开 
“ 不 受 内 核 漏洞 影 吊 
能 够 保护 内 核 
“ 访问 内 核 内 存 
全副 内 核 状 态 
“ 陷入 内 核 敏感 操作 
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SKEE: A Lightwelight Secure Kernel-level Execution 

Environment for ARM 

. 修改 内 核 内 存 管理 代码 2 2 
。 页 表 更 新 陷入 SKEE 


切 分 内 核 地 址 空间 ， 引 入 SKEE 地 址 空间 
。9KEE 页 表 映 和 映 所 有 内 仓 
M| M U 操作 陷入 3 kE L Kernel Execution SKEE Execution 


。 内 核 页 表 不 映射 SKEE 内 个 
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安全 切换 逻辑 (Secure Context Switching) 


。 安 全 要 求 : 在 SKEE 区 域 被 映射 时 ， 执 行路 径 不 会 返回 内 核 代码 
。 原 子 性 (Atomic) - > 内 核 到 SKEE，SKEE 到 内 核 的 切换 不 会 被 中 断 
。 可 攻击 点 
。 跳 到 切换 逻辑 任意 位 置 执 行 (Jump to the middle of the switch gate ) 
。 在 切换 逻辑 执行 时 中 断 (Interrupt the switching logic execution ) 
。 确定 性 (Deterministic) -> 切换 逻辑 行为 一 致 ， 不 受 其 他 因素 干扰 
。 输入 
。 叭 一 性 (Exclusive) -> 切换 逻辑 是 内 核 到 3SKEE，SKEE 到 内 核 的 唯一 切换 入 口 
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安全 切换 逻辑 (Secure Context Switching) 


。ARMV7 实现 


1 /*# Start of the SKEE Entry Gate */ 27 /* Start of the SKEE Exit Gate */ 
2 push  {ILr // save the return address 28 mov r9，# 
3 mrs r9，Ccpsr // read the status register 29 isb 
4 push  {r9} // Save the status register Value 39 mcr p15，6，rg9，c2，cg9,，2  // modify the TTBCR to deactivate SKEE 
5 orr r9，Fr9，#Ox1lc9 // set the mask interrupts bits 31 isb 
6 msr cpsr，Fr9 // Load the modified vatLue 32 
7 33L2: 
8 mrc pp15，6，r9，c13，c9，1 // read current CONTEXTIDR 34 mrc 有 15，9，16,，5c2，5c9,， 2  // read current TTBCR 
9 push  {re} // save the CONTEXTIDR vatLue 35 cmp Fr9，#9 // compare current TTBCR with 9 
16 mov r9，# 36 bne L2 // Loop back if TTBCR is not 9 
37 
3 4 p15，6，r9，5c13，c9，1 V// Set CONTEXTIDR to 9 38 二 {rb} 1/ retoad CoNTEXTIDR vatue 
13 39 mcr p15，606，r9，c13，c9，1 // write originaL CONTEXTIDR 
14 mov F9，#Ox1l1 几 ae 
15 isb // Syncronization barrier 4213: 
16 用 CT 15， 本 // modify the TTBCR to activate SKEE 43 mrc p15，6，r96，c13，c6,， 1 // read current CONTEXTIDR 
17 isb 44 cmp Fr9，#9 // compare current CONTEXTIDR with 9 
18 45 beq 1L3 // Loop back if CONTEXTIDR is 6 
191 46 
29 mrc p15，9，r9，c13，c9，1 V// read current CONTEXTIDR 47 pop {rgj} // retLoad status register Value 
21 cmp Fr9，#9 // compare current CONTEXTIDR with 9 48 msr Ccpsr，r9 // restore the originaL Status register 
22 bne Lx // Loop back if CONTEXTIDR is not 9 49 
23 56 pop fL // retLoad the return address 
24 bL skee_entry // jump to SKEE entry point 51 movs pc，1Lr // jump back to the kernet 


25 /*# End of the SKEE Entry Gate */ 52 /# End of the SKEE Exit Gate *#/ 
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安全 切换 逻辑 (Secure Context Switching) 
. ARMv8 实现 


1 /*# Start of the SKEE Entry Gate */ ee 
2 nop V/no operat1lon 
2 _mrs X9，DAIF // Read lnterrupt mask bits 3 nop // FitLt the page with no operations to 
3 Str X9，[S5D，#-8]! // Save interrupt mask bits 4 nop // alLign the Last instruction with the 
4 msr DAIFset，6x3 // Mask alLtL interrupts 2 
5 7 msr DAIFset，0x3 // Mask alLL interrupts 
6 mrs X9，ttbr1l_elL1 // Read existing TTBR1 valLue 8 
7 Str  X9，[sSD，#-8] ! // Save existing TTBR1 vatLue 3 [sp， 部 ] ! // Retoad kernet TTBR1 Value 
S 
8 11 msr ttbrl eL1LI，Xx9 // Restore TTBR1 to kernetL vatLue 
9 msr ttbrl_ eL1，Xzr // Load the vatLue zero to TTBR1 12 一 
19 sb 13 /#------------ ISoLated Page Boundry--------------- #/ 
四 ， 15 isb 
12 ttLbi vmalLtLel // Invatidate the TLB 16 ttLbi vmattel // Invatidate the TLB 
13 isb 17 isb 
14 18 
19 
15 adr xX9，skee_entry // Jump to SKEE entry polnt 29 Ldr xg9，[sp，#8]! // RetLoad interrupts mask bits 
16 br x9 21 msr DAIF，Xx9 // Restore interrupts mask bits register 
17 /*# End of the SKEE Entry Gate */ r 


24/*# End of the SKEE Exit Gate *#/ 


第 八 届 全 国 网 络 己 人 


内 核 代 码 注入 攻击 
“我 们 的 工作 - 实时 内 核 保护 


。Real-time Kerne| 
Protection 
“ 利用 隔离 环境 保护 内 核 
* 内核 代码 ， 页 表 
*“ 杜绝 内 核 代 人 码 注入 攻击 
“ 部署 超 亿 部 旗舰 手机 
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内 核 代码 重 
. 2015 Kingroot - JOP 
. 2016 Project Zero - ROP 


gadget1 
_inet_release LDR X3, [X1#Ox10] 
LDR X4, [X1,#Ox20] 
STP X29, X30, [SP,#Ox10+var_10]! LDR X5, [X1,#Ox30] 
MOV X29, SP 0 
BLR X3 
[cs 
MOV X0, X19 gadget2 
LDR X2, [X19,#Ox28] MOV X0, SP 
LDR X2, [X2] BLR X4 
BLR X2 We 
gadget3 
STR X0, [X1#Ox40] 
MOV W0, #0 BLR X5 


LDP X19, X20, [SP,#Ox10+var_s0] 
LDP X29, X30, [SP+Ox10+var_10],#Ox20 
RET 


RO P 泄 露 SP 的 大 致 思路 Source: https://blog.csdn.net/hu3167343Varticle/details/47394707 
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内 核 代 码 重用 攻击 


。 对 返回 地 址 的 现 有 保护 
。 Stack canary 一 we 

。9hadow stack - 软件 实现 可 航 斤 过 ， 性 能 开销 大 
。 我 们 的 工作 - 返回 地 址 加 密 esaes 


eturn address Teturn address XOR key 


frame pointer frame pointer 


Stack growth 
return address 人 Teturn address XOR key 


frame pointer frame pointer 
return address Teturn address XOR key 
frame pointer frame pointer 


Low address 
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内 核 代 码 重用 攻击 


* 性 能 考量 
“基于 XOR 的 轻 量 级 加 密 
* 安全 提升 
“ 每 个 系统 调用 产生 新 密 铀 
“ 每 个 系统 调用 完成 返回 时 ， 内 核 枝 为 空 
“ 可 攻击 避 
“通过 第 一 个 系统 调用 的 漏洞 泄漏 密 钥 
“通过 第 二 个 系统 调用 的 漏洞 注入 ROP 攻 击 数 据 : 恶意 地 
址 XOR 密 钥 
“ 密 钥 变 换 导 致 攻击 失败 
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内 核 代 码 重 用 攻击 


“我 们 工作 
*。 加密 所 有 内 核 妈 回 地 址 
* 限制 所 有 内 核 函 数 指针 跳 转 目标 
“部署 超 亿 部 旗舰 手机 内 核 
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内 核 数据 攻击 防护 


。 先 期 工作 - PeX: A Permission Check Analysis Framework for 
Linux Kerne| 

“ PeX - 内 核 权 限 检查 分 析 框 以 
“ 现 有 器 题 

”内核 中 权限 多 样 ， 路 径 复杂 

“很 多 权限 检查 (Permission Checks) 被 随意 放置 ， 安 全 性 差 

。 每 一 个 内 核 开 发 者 对 于 怎么 放置 权限 检查 、 放 置 什么 样 的 权限 检查 拥有 不 同 的 理解 
“。 尚 无 系统 性 分 析 
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内 核 权 限 检 杏 问题 


write( new ”) prctl(“new); 
Y Y 
Sy9_ write(“ new”) SyS_prctl(“new2”) 


vfs_write 


security file_permission 


全 十 订 


file->f op->write 


j 


comm_write(“ new”) 
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内 核 数据 攻击 防护 


“ 分 析 内 核 中 权限 检查 
。DAKC (Discretionary Access Controls) 
* 目 主 访问 控制 
。drwxr-xr-x for /root 
。Capabillities 
。/bin/ping only has cap_net raw (no more suid, full root) 
。LSM (Linux Security Module) 


“内核 安 全 模块 ， 是 内 核 强 制 访问 控制 的 基础 
。9ELInux AppArmor 
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PeX 方案 


。 近 术 挑战 
*。 内核 仓 企 大 量 间 接 调 用 (函数 所 针 ) 
。 现 有 精准 分 析 ， 无 法 扩展 到 内 核 代 码 量 级 
。 缺 乏 精 / 佳 4 分 析 ， 无 法 创建 精确 的 程序 控制 流 图 
。 内核 ee 
*。 无 法 识别 权限 检查 函数 、 敏 感 函 数 ， 以 及 相应 的 映射 
。 解决 方案 
。 提 出 了 新 的 、 基 于 struct 类 型 的 函数 指针 精确 分 析 
。 根据 现 有 代码 ， 抽 取 权 限 检查 规则 
。 提 出 了 检查 冰 数 及 敏感 图 数 识别 算法 
。 进行 正 向 、 反 辐 分 析 ， 系 统 地 分 析 内 核 权 限 检查 缺失 、 有 也 余 、 不 一 致 等 问题 
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PeX 结果 
:内核 指 针 分 析 结果 
defconfig allyesconfig 
KIRIN TYPE K-Miner KIRIN TYPE K-Miner 
% of ICS resolved ”86 100 1 92 100 N/A 
#of avg target 3.6 10K 3.6 6.2 81K N/A 
analysistime (min) 1 1 9869 6.6 1 N/A 


. 发 现 36 个 全 新 的 内 核 权 限 检查 bug 
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总 结 


。 攻击 和 防护 演化 
。 代 码 注入 攻击 
。 代 码 重 用 攻击 
。 数据 攻击 
. 内核 防护 -我 们 的 工作 
。 防护 代码 注入 攻击 - 提出 新 型 隔离 机 制 ， 基 于 TZ 和 同 级 隔离 
。 防护 代码 重用 攻击 - 内 核 返 回 地 址 加 密 
。 防护 数据 攻击 - 内 核 访 问 控制 检查 系统 性 分 析 
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